Определение 3. Защищенным состоянием системы называется четверка (SUB, OBJ, t, AM), где:
• SUB - множество субъектов;
• OBJ-множество объектов (SUSÍOSJ);
• t:OBJÈSUB®Т- функция типа, сопоставляющая тип каждому объектуили объекту;
• AM - матрица доступа. Обозначим содержимое ячейки (S, О) матрицы AMкак [S, О], [S, O]ÍR.
Модель Харрисона - Руззо - Ульмана является частным случаем ТАМ, в котором имеется только два типа, скажем, subjectи object. Каждый субъект из SUBимеет тип subject, а объект - object.
Защищенное состояние системы изменяется с помощью команд, определенных ниже.
Определение 4. Команда ТАМ имеет формат:
command a(X1: t1, X2: t2 ..., Xk :tk)
if hÎ[Xs1 ,Xo1] Ù r2Î [Xs2,Xo2 ] Ù … Ù rmÎ [Xsm,Xom ]
then op1 ; op2 , ..., орn
end
где a - имя команды; Х1 , Х2, ..., Хk - формальные параметры, имеющие соответственно типы t1 , t2, ..., tk,; r1, r2, ..., rm - праваÎR; s1 ,s2, ..., sm и o1 ,o2, ..., om - целые числа между 1 и k. Каждое орi - одна из элементарных операций:
enter r into [Xs, Х0],
create subject Хs of type ts;
create object X0 of type t0;
delete r from [Xs, X0 ];
destroy subject Xs;
destroy object X0.
Предикат, следующий за частью if, называется условием команды a, a последовательность операций op1; ор2; ...; орп - телом команды a. Если условие опускается, то говорят, что команда является безусловной командой, в противном случае говорят, что команда является условной командой.
Команда ТАМ вызывается подстановкой фактических параметров подходящего типа вместо формальных параметров. В ТАМ не имеет значения, кто именно инициирует команду. Это согласуется с анализом безопасности наихудшего случая. Условная часть команды оценивается в соответствии с ее фактическими параметрами. Тело выполняется только в том случае, если условие является истинным. Команды выполняются последовательно.
Модель монотонной типизированной матрицы доступа (МТАМ) идентична ТАМ за исключением того, что в ней опущены элементарные операции delete, destroysubject и destroyobject. Такая модель не может реализовать некоторые желательные немонотонные аспекты управления доступом. Например, в монотонной модели не может быть представлена следующая команда передачи:
command transfer-r(S1 : s, S2 : s, O : о)
if rÎ[S1 , O]then
enter rin [S2, O];
delete r from [S1 , O];
end
Общая неразрешимость безопасности МТАМ следует из результатов неразрешимости монотонной модели Харрисона - Руззо - Ульмана.
Однако, для МТАМ существуют разрешимые случаи безопасности, определяемые на основе типов субъектов и объектов, участвующих в операциях создания. Эти случаи нельзя сформулировать в рамках модели Харрисона - Руззо - Ульмана, поскольку в ней отсутствует организация типов.
Недостатки модели, построенной на типизированной матрице доступа
Среди недостатков отметим следующее:
• отсутствие контроля типов и, как следствие:
• возможность косвенного получения доступа к конфиденциальной информации
• возможность создания субъекта, наделенного большими полномочиями, чем его создатель.
Оценивая наихудшие ситуации распространения прав, рассмотрим политику контролируемого источника, реализующую контроль информации в документах в качестве примера политики военного сектора (которая трудно воплощается в рамках классической модели Белл-ЛаПадула).
Политика контролируемого источника требует, чтобы создатель (источник) документа поддерживал контроль за доступом к этому документу. Например, субъект S1 , является создателем документа, и он разрешает субъекту S2 его чтение. Политика контролируемого источника требует, чтобы S2 не мог передать информацию кому-то еще, скажем, субъекту S3: ни прямо, разрешая S3 доступ чтения документа, ни косвенно, разрешая S3 доступ чтения копии документа.
Решение проблемы контролируемого источника основано на том, что в ТАМ несколько предков могут совместно создавать дочерний субъект. Поэтому наделение правами и создание копий должно происходить совместно двумя субъектами: S2 запрещается работа, выходящая за рамки собственного типа (тип S2 разрешает только чтение), без получения на то согласия S1 как создателя документа.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.